Zásady pro zpracování osobních údajů 1. Úvodní ustanovení 1.1. Společnost WELLCO Brno s.r.o., IČO: 253 37 009, se sídlem Brno, Příkop 838/6, PSČ 602 00, která je zapsaná v obchodním rejstříku vedeném u Krajského soudu v Brně, oddíl C, vložka č. 26670, kontaktní osoba: Šotková Kateřina, kontaktní e-mailová adresa: sotkova@wellco.cz (dále také jen společnost nebo správce ), s ohledem na nezbytnost plnění povinností v oblasti ochrany osobních údajů, vyplývajících zejména ze zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, a nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) stanovuje tyto zásady pro zpracování osobních údajů. 1.2. Tímto dokumentem správce poskytuje informace, které osobní údaje a za jakým účelem zpracovává, a jaká práva a povinnosti náleží osobám, jejichž osobní údaje správce zpracovává. Tento dokument se netýká zpracování osobních údajů zaměstnanců společnosti. 1.3. Tento dokument může být dle potřeby revidován a aktualizován. 1.4. Správce zpracovává osobní údaje ručně i automatizovaně, vede evidenci veškerých činností, při kterých dochází ke zpracování osobních údajů. 2. Základní pojmy 2.1. Společnost je správcem osobních údajů, neboť určuje účely a prostředky zpracování osobních údajů; osobní údaje zpracovává sama nebo k tomuto účelu využívá služeb dalších osob, tj. zpracovatelů. 2.2. Osobními údaji jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen subjekt údajů ); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. 2.3. Zpracováním osobních údajů je jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. 2.4. Zpracovatelem osobních údajů může být jakákoliv fyzická nebo právnická osoba, nebo jiný subjekt, který zpracovává osobní údaje pro správce. 3. Základní zásady zpracování 3.1. Při zpracování osobních údajů správce a) zpracovává osobní údaje ve vztahu k subjektům údajů korektně, zákonně a transparentně, b) shromažďuje osobní údaje pouze pro určité, výslovně vyjádřené a legitimní účely a dále je nezpracovává způsobem, který je s těmito účely neslučitelný, c) zpracovává pouze takové osobní údaje, které jsou přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány, d) zpracovává pouze takové osobní údaje, které jsou přesné a v případě potřeby aktualizované; správce k tomuto účelu přijme veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny, e) ukládá osobní údaje ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány,
f) zpracovává osobní údaje způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením. 3.2. Správce odpovídá za dodržení všech výše uvedených zásad a musí být schopen dodržování těchto zásad doložit. 3.3. Správce je oprávněn zpracovávat osobní údaje pouze na základě některého z právních důvodů zpracování stanovených právními předpisy. Pouze pokud není dán jiný právní důvod zpracování, musí správce získat souhlas subjektu údajů. 4. Zpracovávané osobní údaje 4.1. V souvislosti se svojí obchodní činností správce zpracovává níže uvedené osobní údaje. 4.2. Jedná se o základní identifikační a adresní údaje a) jméno a příjmení, b) datum narození (u nepodnikajících fyzických osob) c) identifikační číslo (u podnikajících fyzických osob), d) bydliště, sídlo, případně kontaktní adresa, e) kontaktní telefonní číslo, f) kontaktní elektronická (emailová) adresa. 4.3. Pokud subjekt údajů jedná prostřednictvím zástupce, správce zpracovává rovněž identifikační a adresné údaje tohoto zástupce. 4.4. V případě, kdy je odběratelem, dodavatelem nebo se správcem komunikuje právnická osoba, správce zpracovává následující osobní údaje přiřaditelné k této právnické osobě, a to jméno a příjmení osoby, která za právnickou osobu jedná; u této osoby dále zpracovává osobní údaje týkající se kontaktního telefonního čísla a kontaktní emailové adresy, funkce či pracovního zařazení. 4.5. Dále správce zpracovává a) údaje o prodaném nebo nakoupeném zboží a/nebo poskytovaných službách (datum objednávky, uzavření smlouvy, datum předání zboží, druh, specifikace a množství zboží nebo služby, cena), b) údaje z komunikace mezi správcem a odběratelem/dodavatelem (písemná nebo elektronická komunikace, záznamy telefonických hovorů, ), c) údaje o platební morálce, d) údaj o zasílání novinek odběratelům. 4.6. Správce provádí průběžně aktualizaci zpracovávaných osobních údajů, zejména tehdy, pokud zjistí nesprávnost některého ze zpracovávaných osobních údajů nebo obdrží od subjektu údajů informaci o změně některého ze zpracovávaných osobních údajů. 5. Nákup/prodej zboží a poskytování služeb 5.1. Za účelem uzavření a plnění smlouvy o prodeji/nákupu zboží nebo poskytnutí/odběru služby správce zpracovává identifikační a adresní údaje odběratele/dodavatele a případně jeho zástupce. Pokud je smlouva uzavírána prostřednictvím elektronické pošty nebo telefonu, zpracovává správce rovněž údaj týkající se elektronické adresy a telefonního čísla odběratele/dodavatele. Jestliže existuje komunikace související s procesem uzavírání smlouvy nebo s jejím plněním, zpracovává správce rovněž osobní údaje obsažené v této komunikaci. Rovněž za tímto účelem správce zpracovává údaje týkající se předmětu plnění smlouvy a způsobu uzavření smlouvy, tedy zejména údaje týkající se objednaného zboží nebo služeb, data objednávky a plnění, ceny. 5.2. Právním důvodem pro zpracování osobních údajů dle tohoto článku je nezbytnost pro uzavření a splnění smlouvy. Souhlas subjektu údajů k tomuto zpracování se nevyžaduje. Tyto osobní údaje správce získává od odběratelů a dodavatelů, další získává na základě průběhu obchodního vztahu. Pokud by odběratel nebo dodavatel odmítl některé z uvedených osobních údajů správci sdělit, musel by správce odmítnout prodat/koupit zboží nebo poskytnout/odebrat službu. Stránka 2 z 5
5.3. Osobní údaje dle tohoto článku správce zpracovává po dobu nutnou k dosažení uvedeného účelu, tj. po dobu trvání závazků z daného smluvního vztahu. Poté správce ukončí zpracování osobních údajů pro tento účel, pokud není v těchto zásadách stanoveno jinak nebo právní předpis nepožaduje zpracování po delší dobu. 5.4. Pokud odběratel/dodavatel poskytne správci osobní údaje, ale k uzavření smlouvy nedojde, správce ukončí zpracování osobních údajů po uplynutí tří (3) kalendářních měsíců ode dne ukončení jednání o uzavření smlouvy. 6. Vedení sporných nebo jiných řízení 6.1. V případě, kdy správce, odběratel, dodavatel nebo jiná osoba zahájí sporné nebo jiné řízení, jehož je správce účastníkem, nebo se zahájení takového řízení jeví jako pravděpodobné, zpracovává správce osobní údaje týkající se identifikace a kontaktu, předmětu plnění, jakož i dalších údajů týkajících se tohoto řízení, které má správce k dispozici. 6.2. Právním důvodem pro zpracování osobních údajů dle tohoto článku je jeho nezbytnost pro účely oprávněných zájmů správce, kterým je ochrana majetku a/nebo dobré pověsti správce. Souhlas subjektu údajů k tomuto zpracování se nevyžaduje. Tyto osobní údaje správce získává od odběratele/dodavatele, od osob, které příslušné řízení zahájily, od orgánu nebo osoby, u kterého řízení probíhá, z veřejných rejstříků či jiných veřejně dostupných zdrojů. 6.3. Osobní údaje dle tohoto článku správce zpracovává do skončení řízení, resp. zániku souvisejících práv a povinností, k jejich plnění je třeba zpracovávat tyto osobní údaje. 7. Plnění zákonných povinností 7.1. Správce dále zpracovává osobní údaje za účelem plnění povinností uložených právními předpisy. Z důvodů vyžadovaných zákonem o účetnictví a dalšími právními předpisy zejména z oblasti daňové správy správce po stanovenou dobu uchovává dokumenty (v elektronické nebo papírové podobě), které mohou obsahovat osobní údaje, zejména faktury a dokumenty, z kterých vyplývá právní důvod pro vystavení faktur (tj. zejména objednávky a smlouvy) obsahující např. identifikační a adresní údaje zákazníků, údaje týkající se koupeného/prodaného zboží a poskytnutých/odebraných služeb, vyúčtované ceny. 7.2. Právním důvodem pro zpracování osobních údajů dle tohoto článku je jeho nezbytnost pro splnění právních povinností správce. Souhlas subjektu údajů k tomuto zpracování se nevyžaduje. Tyto osobní údaje správce získává zejména od dodavatele/odběratele nebo z průběhu obchodního vztahu. 7.3. Osobní údaje dle tohoto článku správce zpracovává po dobu stanovenou právními předpisy. 8. Šíření obchodní sdělení a používání cookies 8.1. Pokud správce získá od odběratele dle článku 5. těchto zásad emailovou adresu v souvislosti s prodejem zboží nebo poskytnutím služby, je oprávněn zpracovávat emailovou adresu a identifikační údaje odběratele pro potřeby zasílání obchodních sdělení správce týkajících se obdobného zboží nebo služeb. 8.2. Předpokladem pro možnost šíření obchodních sdělení dle článku 8.1. je, že odběratel má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma nebo na účet správce odmítnout souhlas s takovýmto využitím jeho emailové adresy i při zasílání každé jednotlivé zprávy, pokud původně toto využití neodmítl. 8.3. Právním důvodem pro zpracování osobních údajů dle článku 8.1. je nezbytnost pro účely oprávněných zájmů správce, kterým je provádění marketingu. Souhlas subjektu údajů k tomuto zpracování se nevyžaduje. Správce je oprávněn zpracovávat osobní údaje do doby, než odběratel správci sdělí, že již s tímto zpracováním nesouhlasí. 8.4. Šířit obchodní sdělení bez splnění podmínek dle článků 8.1. a 8.2. je správce oprávněn pouze na základě získání souhlasu. V tomto případě je právním důvodem pro zpracování osobních údajů za tímto účelem souhlas, který může být kdykoliv odvolán. Správce je oprávněn zpracovávat osobní údaje pro tyto účely do okamžiku, kdy subjekt údajů svůj souhlas odvolá, nejdéle však po dobu pěti (5) let Stránka 3 z 5
ode dne udělení tohoto souhlasu. Neposkytnutí tohoto souhlasu nebo jeho odvolání nemá žádný vliv na možnost odběru zboží. 8.5. Pokud správce získá od uživatele webových stránek správce souhlas s umísťováním souborů cookies na jeho počítači, je správce oprávněn na základě tohoto souhlasu umísťovat do počítače této osoby textové soubory za účelem zpětného odesílání údajů o chování tohoto uživatele na webových stránkách správce a zpracovávat takto získané údaje za účelem nastavení webových stránek správce dle zjištěného chování uživatele a zlepšování služeb správce. Za souhlas se považuje rovněž nastavení prohlížeče na počítači uživatele tak, že umožňuje ukládat soubory cookies do počítače. Před poskytnutím souhlasu dle tohoto článku musí být osoba poskytující souhlas poučena o tom, že tento souhlas lze kdykoliv odvolat. 8.6. Právním důvodem pro zpracování osobních údajů dle článku 8.5. je souhlas subjektu údajů. Neposkytnutí tohoto souhlasu nebo jeho odvolání nemá žádný vliv na možnost koupě zboží nebo poskytnutí služeb. Tyto osobní údaje správce zpracovává po dobu trvání souhlasu. 9. Předávání osobních údajů třetím osobám 9.1. Správce předává osobní údaje jinému subjektu, pokud mu to ukládá právní předpis nebo je to nutné ke splnění povinnosti uložené právním předpisem či vykonatelným rozhodnutím příslušného orgánu (např. soudu či finančnímu úřadu). 9.2. Správce při plnění svých povinností z uzavřených smluv nebo v případě ochrany svých legitimních zájmů může využívat odborné a specializované služby jiných subjektů. Pokud tito dodavatelé při poskytování těchto služeb zpracovávají osobní údaje předané od správce, mají postavení zpracovatelů osobních údajů a zpracovávají tyto osobní údaje pouze v rámci pokynů od správce a nesmí je využít jinak. Jde zejména o činnosti poskytovatele IT služeb včetně ukládání dat, tvorby, fungování webových stránek, jakož i nastavení webových stránek na základě údajů získaných prostřednictvím cookies, služby projektantů, skladové služby, stavební služby, advokátní služby, marketing, logistiku nebo doručovací služby. Na žádost subjektu údajů správce sdělí, zda a kterému subjektu byly jeho osobní údaje poskytnuty a další související informace. 9.3. Každého takového dodavatele správce pečlivě vybírá a s každým uzavírá smlouvu o zpracování osobních údajů, ve které jsou stanoveny povinnosti k ochraně a zabezpečení osobních údajů, včetně povinnosti zachovávat mlčenlivost. 9.4. Správce je oprávněn předat osobní údaje pouze těm osobám, které poskytují dostatečné záruky zavedením vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo všechny požadavky stanovené právními předpisy a aby byla zajištěna ochrana práv subjektů údajů. 9.5. K tomuto nakládání s osobními údaji správce nepotřebuje souhlas subjektu údajů, neboť by v opačném případě nebyl schopen splnit své povinnosti ze smlouvy, resp. k tomuto poskytnutí dochází z jeho nezbytnosti za účelem oprávněných zájmů správce. 9.6. Správce nemá v úmyslu předávat osobní údaje do zemí mimo Evropskou unii. 10. Způsob zpracování a přístup k osobním údajům 10.1. Osobní údaje jsou zpracovávány prostřednictvím informačního systému správce, jehož zabezpečení před ztrátami osobních údajů i před přístupem neoprávněných osob je pravidelně ověřováno. Přístup do systému je omezen podle nastavených manažerských rolí. Bezpečnost předávání osobních údajů v elektronické podobě třetím osobám je zabezpečeno prostřednictvím přístupu do informačního systému správce chráněného bezpečným heslem. Informační systém je standardní, jeho dodavatel poskytuje obvyklé záruky bezpečnosti, jeho funkčnost a bezpečnost je pravidelně testována a udržována externím dodavatelem, se kterým má správce uzavřenu smlouvu o zpracování osobních údajů. 10.2. Správce provádí při zpracování osobních údajů zejména následující technické a organizační opatření: a) uzamykání prostor správce, kde se osobní údaje zpracovávají, b) uzamykání osobních údajů v tištěné podobě do uzamykatelných skříní, c) zpracování osobních údajů pouze odpovědnými osobami; d) proškolení odpovědných osob, jak mají s osobními údaji nakládat. Stránka 4 z 5
10.3. Každý úkon, který zahrnuje jakékoli nakládání s osobními údaji, je zaznamenán v informačním systému správce, a to včetně údaje o osobě, která tento úkon provedla. 10.4. Správce zpracovávané osobní údaje průběžně aktualizuje, zejména v souvislosti se změnami, které zjistí od jiných osob nebo z veřejně dostupných zdrojů. 10.5. Pokud již správce dosáhne účelu zpracování osobních údajů a žádný další důvod pro jejich zpracování nemá, tyto osobní údaje vymaže bez možnosti jejich obnovy. 10.6. Přístup k osobním údajům u správce mají pouze osoby, u kterých to nutně vyžaduje dosažení účelu, pro který jsou osobní údaje zpracovávány. Za tímto účelem u správce probíhá pravidelný audit. 10.7. Osoby mající přístup k osobním údajům jsou patřičně proškoleni o jejich ochraně a jsou povinny dodržovat mlčenlivost. 11. Práva subjektu údajů 11.1. Subjekt údajů má v souvislosti s ochranou osobních údajů následující práva: a) na přístup k jeho osobním údajům, které zahrnuje zejména právo získat od správce potvrzení, zda zpracovává jeho osobní údaje, informace o účelech zpracování, kategoriích osobních údajů, příjemcích, kterým osobní údaje byly nebo budou zpřístupněny, plánované době zpracování, o existenci práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování nebo vznést námitku proti tomuto zpracování, b) na opravu nepřesných osobních údajů; subjekt údajů má však současně povinnost oznamovat změny svých osobních údajů a doložit, že k takové změně došlo. Zároveň je povinen poskytnout součinnost, bude-li zjištěno, že osobní údaje, které jsou o něm zpracovávané, nejsou přesné, c) právo na výmaz osobních údajů, které se ho týkají, pokud správce neprokáže oprávněné důvody pro zpracování těchto osobních údajů, d) na omezení zpracování osobních údajů do doby vyřešení podnětu, pokud popírá přesnost osobních údajů, důvody jejich zpracování nebo pokud podá námitku proti jejich zpracování, e) právo na oznámení opravy, výmazu nebo omezení zpracování osobních údajů, ledaže se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí, f) na přenositelnost údajů ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo požádat o předání těchto údajů jinému správci, g) vznést námitku proti zpracování jeho osobních údajů z důvodu oprávněného zájmu správce (např. na zasílání obchodních sdělení); v případě, že nebude prokázána existence závažného oprávněného důvodu pro zpracování, který převažuje nad zájmy nebo právy a svobodami subjektu údajů, správce zpracování na základě námitky ukončí bez zbytečného odkladu, h) kdykoli odvolat souhlas se zpracováním osobních údajů, pokud je správce zpracovává na základě jeho souhlasu; tímto odvoláním souhlasu však nebude dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním, i) obrátit se s podnětem nebo stížností na Úřad pro ochranu osobních údajů (www.uoou.cz). 12. Účinnost 12.1. Tyto zásady jsou účinné od 25. 5. 2018 Stránka 5 z 5